Schutz vor MAC-Flooding-Angriff

Bei einem typischen MAC-Flooding-Angriff wird ein Switch mit Paketen überflutet, die jeweils unterschiedliche Quell-MAC-Adressen enthalten. Es ist beabsichtigt, den begrenzten Speicher zu verbrauchen, der im Switch zum Speichern der Übersetzungstabelle von MAC-Adresse zu physischem Port vorgesehen ist.

Das Ergebnis dieses Angriffs führt dazu, dass der Switch in einen Zustand namens Failopen-Modus wechselt, in dem alle eingehenden Pakete an allen Ports (wie bei einem Hub) gesendet werden, anstatt nur den richtigen Port gemäß normalem Betrieb herunterzufahren. Ein böswilliger Benutzer könnte dann einen Paket-Sniffer verwenden, der im Promiscuous-Modus ausgeführt wird, um vertrauliche Daten von anderen Computern zu erfassen, auf die bei normalem Betrieb des Switches nicht zugegriffen werden kann.

Cisco bietet Ihnen die Möglichkeit, einen Schutz gegen diesen Angriff einzurichten, indem Sie einige MAC-Adressen auf einen dedizierten Port beschränken und / oder festverkabeln.

Verstehen Sie den MAC-Flooding-Angriff
Angenommen, Sie haben einen Switch mit 3 PCS: PC A, PC B und PC C; Wenn PC A im Normalfall ein Paket an PC B sendet, zeigt PC C das zwischen PC A und PC B gesendete Paket nicht an.

mac_learning

Dies liegt daran, dass die 3 PC an einen Switch und NICHT an einen Hub angeschlossen sind.

Bei einem MAC-Flooding-Angriff ist das Switch-Verhalten anders. Während des MAC-Flooding-Angriffs überflutet der Angreifer (in diesem Fall PC C) den Switch mit Paketen mit jeweils unterschiedlicher Quell-MAC-Adresse.

mac_flooding_attack

Wenn der Inhaltsadressierbare Speicher (der Speicher, in dem die MAC-Adressen gespeichert sind) voll ist, funktioniert der Switch wie ein Hub; Wenn also PC A ein Paket an PC B sendet, wird das Paket auch an PC C empfangen.

mac_flooding_attack_2

Schutz vor MAC-Flooding-Angriffen
Cisco hat eine Funktion namens switchport Port-security implementiert, um sich vor dieser Art von Angriffen zu schützen. Sie können die Portsicherheitsfunktion verwenden, um die Eingabe in eine Schnittstelle einzuschränken, indem Sie die MAC-Adressen der Stationen, die auf den Port zugreifen dürfen, einschränken und identifizieren.

Es gibt drei Arten von sicheren MAC-Adressen:

  • Statische sichere MAC-Adressen: Diese werden manuell mithilfe des Befehls switchport port-security mac-address mac-address interface configuration konfiguriert, in der Adresstabelle gespeichert und der Konfiguration des Switchports hinzugefügt.
  • Dynamische sichere MAC-Adressen: Diese werden dynamisch gelernt, nur in der Adresstabelle gespeichert und beim Neustart des Switches entfernt.
  • Sticky secure MAC-Adressen: Diese können dynamisch erlernt oder manuell konfiguriert, in der Adresstabelle gespeichert und der laufenden Konfiguration hinzugefügt werden. Wenn diese Adressen in der Konfigurationsdatei gespeichert sind, muss die Schnittstelle sie beim Neustart des Switches nicht dynamisch neu lernen.

Denken Sie daran: Einem sicheren Port können 1 bis 132 sichere Adressen zugeordnet sein. Die Gesamtzahl der verfügbaren sicheren Adressen auf dem Switch beträgt 1024.

Wenn die maximale Anzahl sicherer MAC-Adressen zur Adresstabelle hinzugefügt wurde und eine Station, deren MAC-Adresse nicht in der Adresstabelle enthalten ist, versucht, auf die Schnittstelle zuzugreifen, tritt eine Sicherheitsverletzung auf.

Der Switch kann auf drei verschiedene Arten auf eine Sicherheitsverletzung reagieren:

  • schützen: Wenn die Anzahl der sicheren MAC-Adressen den für den Port zulässigen Grenzwert erreicht, werden Pakete mit unbekannten Quelladressen verworfen, bis Sie eine ausreichende Anzahl sicherer MAC-Adressen entfernen oder die Anzahl der maximal zulässigen Adressen erhöhen. Sie werden nicht benachrichtigt, dass eine Sicherheitsverletzung aufgetreten ist.
  • beschränken: Wenn die Anzahl der sicheren MAC-Adressen den für den Port zulässigen Grenzwert erreicht, werden Pakete mit unbekannten Quelladressen verworfen, bis Sie eine ausreichende Anzahl sicherer MAC-Adressen entfernen oder die Anzahl der maximal zulässigen Adressen erhöhen. In diesem Modus werden Sie benachrichtigt, dass eine Sicherheitsverletzung aufgetreten ist. Insbesondere wird ein SNMP-Trap gesendet, eine Syslog-Nachricht protokolliert und der Verletzungszähler inkrementiert.
  • herunterfahren: In diesem Modus führt eine Portsicherheitsverletzung dazu, dass die Schnittstelle sofort fehlerbehaftet wird und die Port-LED ausgeschaltet wird. Es sendet auch einen SNMP-Trap, protokolliert eine Syslog-Nachricht und erhöht den Verletzungszähler. Wenn sich ein sicherer Port im Status error-disabled befindet, können Sie ihn aus diesem Status herausholen, indem Sie den globalen Konfigurationsbefehl errdisable recovery cause psecure-violation eingeben, oder Sie können ihn manuell wieder aktivieren, indem Sie die Konfigurationsbefehle shutdown und no shutdown interface eingeben. Dies ist der Standardmodus.

Beispiel: Begrenzung auf zehn MAC-Adressen, von denen zwei statisch sind (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), auf FastEthernet 0/1 Port. Die erforderliche Verletzung ist “eingeschränkt”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

Switchport-Modus Zugriff: Die Port-Sicherheit funktioniert nur auf Access-Port, so definieren Sie es.
switchport port-security: Aktivieren Sie die Portsicherheit auf der Schnittstelle.
switchport port-security maximum 10: Legt die maximale Anzahl sicherer MAC-Adressen für die Schnittstelle auf 10 fest.
switchport Port-security violation restrict: Definiert, um den Verletzungsmodus “einzuschränken”.
switchport Port-Sicherheit MAC-Adresse aaaa.aaaa.aaaa: Definieren Sie die statische MAC-Adresse; Denken Sie daran, dass die verbleibenden MAC-Adressen dynamisch gelernt werden, wenn Sie weniger sichere MAC-Adressen als das Maximum konfigurieren.

Nützliche Befehle zur Anzeige des Status und der Konfiguration der Verkehrssteuerung sind:

  • schnittstellen anzeigen switchport: Zeigt den Verwaltungs- und Betriebsstatus aller Switching-Ports (Nicht-Routing) oder des angegebenen Ports an, einschließlich der Einstellungen für Portblockierung und Portschutz.
  • hafen-Sicherheit anzeigen : Zeigt die Portsicherheitseinstellungen für den Switch oder für die angegebene Schnittstelle an, einschließlich der maximal zulässigen Anzahl sicherer MAC-Adressen für jede Schnittstelle, der Anzahl sicherer MAC-Adressen auf der Schnittstelle, der Anzahl aufgetretener Sicherheitsverletzungen und des Verletzungsmodus.
  • port-Sicherheitsadresse anzeigen: Zeigt alle sicheren MAC-Adressen an, die auf allen Switch-Schnittstellen oder auf einer angegebenen Schnittstelle konfiguriert sind, mit Alterungsinformationen für jede Adresse.

Denken Sie daran: sie können die Portsicherheit für eine Schnittstelle nur aktivieren, wenn der Port nicht als einer dieser Ports konfiguriert ist:

  • Trunk-Ports: Wenn Sie versuchen, die Portsicherheit an einem Trunk-Port zu aktivieren, wird eine Fehlermeldung angezeigt, und die Portsicherheit ist nicht aktiviert. Wenn Sie versuchen, den Modus eines sicheren Ports in Trunk zu ändern, wird der Portmodus nicht geändert.
  • Dynamischer Port: Ein Port im dynamischen Modus kann mit seinem Nachbarn verhandeln, um ein Trunk-Port zu werden. Wenn Sie versuchen, die Portsicherheit für einen dynamischen Port zu aktivieren, wird eine Fehlermeldung angezeigt, und die Portsicherheit ist nicht aktiviert. Wenn Sie versuchen, den Modus eines sicheren Ports in dynamisch zu ändern, wird der Portmodus nicht geändert.
  • Port mit dynamischem Zugriff: Wenn Sie versuchen, die Portsicherheit an einem Port mit dynamischem Zugriff (VLAN Query Protocol ) zu aktivieren, wird eine Fehlermeldung angezeigt, und die Portsicherheit ist nicht aktiviert. Wenn Sie versuchen, einen sicheren Port in die dynamische VLAN-Zuweisung zu ändern, wird eine Fehlermeldung angezeigt, und die VLAN-Konfiguration wird nicht geändert.
  • EtherChannel-porT: Bevor Sie die Portsicherheit auf dem Port aktivieren, müssen Sie ihn zuerst aus dem EtherChannel entfernen. Wenn Sie versuchen, die Portsicherheit auf einem EtherChannel oder auf einem aktiven Port in einem EtherChannel zu aktivieren, wird eine Fehlermeldung angezeigt und die Portsicherheit ist nicht aktiviert. Wenn Sie die Portsicherheit auf einem noch nicht aktiven Port eines Etherchannels aktivieren, tritt der Port dem EtherChannel nicht bei.
  • 802.1X-Port: Sie können einen 802.1X-Port nicht als sicheren Port konfigurieren. Wenn Sie versuchen, die Portsicherheit an einem 802.1X-Port zu aktivieren, wird eine Fehlermeldung angezeigt, und die Portsicherheit ist nicht aktiviert. Wenn Sie versuchen, einen sicheren Port in einen 802.1X-Port zu ändern, wird eine Fehlermeldung angezeigt, und die 802.1X-Einstellungen werden nicht geändert.
  • Zielport Switch Port Analyzer (SPAN): Sie können die Portsicherheit für einen Port aktivieren, der ein SPAN-Zielport ist. Sie können die Portsicherheit auf einem SPAN-Quellport aktivieren.

Write a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht.